schedule 1 min de lecture

6 sanctions RGPD incontournables mais peu connues des TPE/PME et Associations

Sanctions RGPD TPE PME Association

Quelles sont les 6 sanctions RGPD que les TPE/PME et Associations ne connaissent pas ?

De nombreux organismes sont chaque année sanctionnées par la CNIL pour manquement au RGPD. Il peut s'agir de médecins, de notaires, d’associations, de TPE/PME ou encore de grands Groupes comme Carrefour

7300 € pour une TPE et 1000 € d’astreinte par jour de retard

Le 7 décembre 2020 une TPE, employant 2 salariés, a été sanctionnée d’une amende de 7 300€, et d’une injonction de mise en conformité dans un délai de 2 mois, sous peine d’une astreinte de 1000€ par jour de retard. Il était question de cinq manquements au RGPD, dont un défaut d’information des personnes et le manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection.

75 000 € pour une association de droit privé à but non lucratif

Le 21 juin 2018 une association (ADEF) a été sanctionnée par une amende de 75 000 € pour avoir manqué à son devoir de protection des données de ses utilisateurs sur son site internet. Cette décision a été validée par le Conseil d’Etat dans une décision du 17 avril 2019.

500 000 € pour un dépôt de cookies à des fins publicitaires sans le consentement des utilisateurs

Le 6 janvier 2022, la société Brico Privé a été sanctionnée par une amende de 500 000 € pour avoir permis le dépôt de cookies à des fins publicitaires sans le consentement des utilisateurs.

3000 € et 6000 € pour des médecins généralistes

Le 7 décembre 2020, deux médecins libéraux ont été sanctionnés à hauteur de 3 000€ et 6 OOO€ d’amende (en savoir plus).

3000 € pour des professions libérales pour manquement à l’obligation de coopération 

Le 21 octobre 2021, des Notaires ont été sanctionnés pour manquement à l’obligation de coopération avec les services de la CNIL, à hauteur de 3 000 euros.

30 000 € pour une association loi 1901 reconnue d’utilité publique

L'Alliance Française Ile-de-France a été sanctionnée par la CNIL de 30 000 euros d’amende car des milliers de documents (dont des certificats d’inscriptions, factures, etc.) étaient en clair et pouvaient être téléchargés. En bref, l’association a été sanctionnée pour mauvaise sécurisation des données personnelles.

Sanctions RGPD : les chiffres clés en 2021

  1. Plus de 14 143 plaintes en 2021 qui ont été adressées à la CNIL contre 13 585 en 2020.
  2. Une augmentation de 54 % des contrôles effectués par la CNIL en 2021 en comparaison de 2020.
  3. Une augmentation de 175 % des mises en demeure prononcées en 2021 en comparaison de 2020.
  4. 214 106 000 € d’amendes prononcées par la CNIL en 2021 contre 138 489 300 € en 2020.

RGPD et Sanctions : quels organismes peuvent être sanctionnés ?

Le RGPD s’applique depuis son entrée en vigueur le 25 mai 2018 à toute organisation, publique ou privée, qui traite des données à caractère personnel pour son compte ou non, dès lors :

  1. qu'elle est établie sur le territoire de l’Union européenne
  2. que son activité traite des données à caractère personnel de ressortissants européens

Ne pas respecter le RGPD, c’est exposer son organisme à un contrôle de la CNIL ou d’une autorité compétente et/ou à des plaintes adressées à la CNIL par ses salariés, clients, usagers ou utilisateurs.

Les sanctions possibles pour non respect du RGPD sont :

  1. Jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros pour tout manquement relatif aux droit des personnes
  2. Jusqu’à 2 % du chiffre d'affaires annuel mondial ou 10 millions d’euros pour un manquement au principe de Privacy By Design, etc.
  3. Une publication de la sanction aux frais de l’organisme
  4. Un rappel à l’ordre de la CNIL
  5. Des injonctions sous astreintes allant jusqu’à 100 000 euros par jour
  6. Des sanctions pénales
  7. Des dommages et intérêts au civil
  8. Et autres mesures spécifiques

Concernant les sanctions pécuniaires, l’amende choisie sera celle au montant le plus élevé.

A savoir : pour les associations n'ayant pas de chiffre d'affaires, les sanctions maximales sont limitées par les montants pécuniaires c'est à dire jusqu'à 20 millions d’euros. Les sanctions sont prononcées par la formation restreinte de la CNIL ou par sa Présidente.

comment la CNIL contrôle

La CNIL dispose d’une panoplie de moyens pour effectuer son contrôle. La CNIL contrôle les organismes sur place, sur pièce, sur audition ou en ligne

Vous ne pourrez pas vous défendre en invoquant le manque de temps, la méconnaissance du sujet ou le manque de ressources internes.

De plus, le 8 avril 2022 les procédures répressives de la CNIL ont été modifiées en créant des procédures de sanction simplifiées.

Les sanctions phares de la CNIL entre 2021 et 2022 

Le 6 janvier 2022 Google a été sanctionné de deux amendes à hauteur de 150 millions d’euros. En effet la CNIL a relevé une atteinte à la liberté du consentement dans son procédé d’acceptation des cookies. Enjoint de se mettre en conformité sous 3 mois, 100 000 euros par jour  ont été prononcés à titre d’astreinte.

Le 6 janvier 2022 Facebook a été sanctionné par une amende de 60 millions d’euros pour avoir porté atteinte à la liberté du consentement des utilisateurs lors de l’acceptation des cookies. En effet, comme pour Google, la possibilité de refuser les cookies n’était pas aussi simple que de les accepter, le choix était ainsi biaisé, rendant le consentement vicié. Enjoint de se mettre en conformité sous 3 mois, 100 000 euros par jour  ont été prononcés à titre d’astreinte.

Le 24 septembre 2021, le ministère de l’Intérieur a été rappelé à l’ordre par la CNIL concernant la gestion du FAED, un fichier de police judiciaire d’identification, dans lequel sont traitées les empreintes digitales de personnes mises en causes dans le cadre de procédures pénales.  Cependant de nombreux manquement ont été identifiés par la CNIL, tels qu’un manquement à l’obligation d’information des personnes concernées, une conservation des données excédant la durée de conservation légale ou strictement nécessaire, une collecte de données allant à l’encontre du principe de minimisation,  une sécurisation dudit fichier trop faible. Le ministère de l’Intérieur a ainsi été enjoint de corriger ces manquements.

Le 15 avril 2022 la société Dedalus Biologie a été sanctionnée par la CNIL par une amende de 1,5 million d’euros pour manquement à l’obligation de sécurité, manquement au  respect des obligations incombant aux sous-traitants. Ce manquement a été révélé par une fuite de données médicales de près de 500 000 personnes en février 2021.

Comment protéger son organisme ?

A partir des sanctions prononcées par la CNIL, nos juristes RGPD ont rédigé les articles suivants pour vous aider à limiter les risques et identifier le vrai coût de la conformité. Vous pouvez aussi faire appel à Blockproof directement via nos offres.

Sanctions RGPD : enseignements et exemples pour protéger votre organisme

Amende RGPD : 6 leçons à retenir après la sanction de Carrefour par la CNIL

Amende RGPD à l'égard de l'office HLM de la métropole de Rennes

Le véritable coût de la conformité

Amendes RGPD : classement par pays de l'UE

Sanctions RGPD et entreprises : les plus grandes sanctions recensées par pays (classement 2018 et 2019)

De nombreux cas de fraude ou d'amendes en matière de RGPD ont été identifiés. Voici le classement décroissant des pays ayant infligés les plus grandes sanctions RGPD au sein de l'Union Européenne (2018-2019) :

Espagne : l'AEPD a sanctionné RTVE de 60 000 euros pour la perte de six clés USB contenant des données de modèles sensibles.

Pays-Bas : 2 sanctions pour absence de mesures de sécurité suffisantes :

La première pour un assureur dont le système d'authentification, pour l'accès aux données de santé de ses salariés, n'était pas suffisant. Condamné à une amende de 150 000€/mois tant que le problème ne serait pas résolu (dans la limite de 900 000 euros).

La seconde sanction a été appliquée à un hôpital pour ne pas avoir garanti une sécurité adéquate des dossiers de ses patients. L'Amende s'élève à 100 000 euros toutes les deux semaines (avec une limite de 300 000 euros) jusqu'à ce que la sécurité soit corrigée.

Espagne : LaLiga condamnée à 250 000 euros pour violation du principe de légalité, de loyauté et de transparence.

Portugal : Un hôpital pour avoir donné accès aux données des patients à travers de faux profils de médecins. Cela donnait un accès illimité aux dossiers des patients de l'hôpital qui a été condamné à 400 000 euros.

TOP 3 : En Pologne : L'UODO condamne une boutique en ligne à une amende de 645 000 euros. L'absence de système de sécurité adéquate a permis de découvrir les données personnelles de deux millions de clients.

TOP 2 : Allemagne : La société immobilière allemande Deutsche Wohnen a été condamnée à 14,5 millions d'euros. Elle conservait des données outre mesure en enfreignant le Règlement Général sur la Protection des Données.

TOP 1 : France : Google a été condamné à 50 millions d'euros, car les informations mises à disposition des utilisateurs étaient difficilement accessibles et compréhensibles.

Petit bonus avec le Royaume-Uni (hors UE) : 110 millions d'euros pour les hôtels Marriott suite à une violation de données de plus de 330 millions de personnes. Dans cette veine, la compagnie British Airways a été condamnée à plus de 204 millions d'euros pour avoir révélé a posteriori la violation des données des ses clients.